Siemensは、ビル管理システム「Desigo CC」向けのパッチファイルが、複数のセキュリティソリューションによってマルウェアとして誤って検知されているとして、顧客に注意を呼びかけています。
Desigo CCは、HVAC(空調)、照明、セキュリティ、防火、電力、その他のビルサブシステムを単一のオープンプラットフォームに統合し、一元的な監視・制御を実現するシステムです。
同社は最近、Desigo CCバージョン7から9向けにリリースされたパッチファイルが、各種アンチウイルスエンジンによって悪意のあるファイルとして検知されていることを把握しました。この事実はVirusTotalでのテストによっても確認されています。
Siemensは、不正確なファイル分類の解消に向けてセキュリティベンダーと連携して取り組んでいるとしつつも、この誤検知の原因は実行ファイルとしてコンパイルされたPowerShellスクリプトにあると見ています。
このスクリプトは、Desigo CCのパッチに同梱される「patchHelper」に含まれています。Siemensは、スクリプト内のファイルシステム操作、レジストリ変更、高権限での実行といった処理が、セキュリティエンジンによって不審または悪意あるものと判断されていると考えています。
興味深い点として、同社はこのスクリプト自体は数カ月前から変更されていないにもかかわらず、今になって初めてマルウェアとして検知されるようになったと述べています。
「関連するすべてのファイルを開発リポジトリと手動で比較した結果、差異や悪意ある改ざんは一切確認されませんでした。さらに、デジタル署名を検証した結果、有効であり、改ざんの痕跡は見当たりませんでした」と、Siemensはアドバイザリの中で説明しています。
Siemensがサードパーティのセキュリティソリューションに関する問題を報告するのは、今回が初めてではありません。昨年も同社は、Microsoft Defender AntivirusとSimatic PCS製品に関する問題について顧客に通知しています。
翻訳元: https://www.securityweek.com/siemens-says-desigo-cc-files-flagged-as-malware-by-security-engines/
